| Garante per la protezione dei dati personali Trattamento dei dati effettuato inattuazione della Convenzione di applicazione dell'Accordo di Schengen presso leDivisioni N-S.i.s. e S.i.re.n.e. del Dipartimento della pubblica sicurezza delMinistero dell'interno - Differimento per l'adempimento alle prescrizioni delGarante PROVVEDIMENTO DEL 24 GENNAIO 2013 Registro dei provvedimenti n. 23 del 24 gennaio 2013 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssaAugusta Iannini, vice presidente, della prof.ssa Licia Califano e delladott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale; VISTAla legge 30 settembre 1993, n. 388 di ratifica ed esecuzione dei protocolli edegli accordi di adesione all'Accordo di Schengen e alla relativa Convenzionedi applicazione e, in particolare, l'articolo 11, come modificato dall'articolo173 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno2003, n. 196); VISTOil Codice in materia di protezione dei dati personali e, in particolare, gliartt. 31, 33, 34, 35 e il disciplinare tecnico, allegato B); VISTOil provvedimento del 12 novembre 2009, adottato dal Garante aseguito di accertamenti effettuati presso le Divisioni N-S.i.s. e S.i.re.n.e.del Dipartimento della pubblica sicurezza del Ministero dell'interno volti averificare l'idoneità delle misure di sicurezza dei dati e dei sistemi adottatepresso dette strutture nel trattamento dei dati effettuato in attuazione dellaConvenzione di applicazione dell'Accordo di Schengen; RILEVATOche con detto provvedimento l'Autorità ha prescritto, ai sensi degli artt. 154,comma 1, lett. c) e 160 del Codice, al Ministero dell'interno-Dipartimentodella pubblica sicurezza di adottare alcune misure, attinenti al profilo dellasicurezza dei dati personali e dei sistemi, volte ad assicurare unrafforzamento del livello di protezione delle informazioni trattate commisuratoalle finalità della banca di dati N-S.i.s. e al rilievo dei sistemi informativiin esame, con riferimento, in particolare, a: CONSIDERATOche il Garante, ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice,ha prescritto al Dipartimento di adottare le misure di cui ai punti da 6.1 a6.6 entro il termine di sei mesi e la misura di cui al punto 6.7 entro iltermine di ventiquattro mesi decorrenti dalla data di ricezione delprovvedimento, fornendo riscontro all'Autorità al decorso dei medesimi terminicirca la loro attuazione; VISTAla nota del 3 giugno 2010 con la quale il Ministero dell'interno-Dipartimentodella pubblica sicurezza, nel fornire riscontro, ha illustrato le iniziativeintraprese al fine di attuare le prescrizioni impartite dal Garante, riferendodi avere attuato le misure di cui al punto 6.5 e, in parte, le misure di cui alpunto 6.4 del provvedimento (con riferimento all'accesso ai dati di log delsistema di gestione della corrispondenza denominato "Arianna"),mentre, relativamente alle altre misure prescritte, il Dipartimento ha riferitoche i tempi di attuazione erano legati ad attività che "saranno oggetto di apposito bando di gara la cui predisposizione è ancora in corso", e che"la stima dei tempi di realizzazione, pertanto, dovrà tenere conto deitempi tecnici per la finalizzazione del necessario iterburocratico-amministrativo"; VISTOil provvedimento del 29 settembre 2010 con il quale il Garante, nel confermarele misure prescritte con il provvedimento del 12 novembre 2009, tenuto contoanche della complessità delle procedure amministrative propedeuticheall'attuazione delle diverse misure, ha prescritto al Ministerodell'interno-Dipartimento della pubblica sicurezza di indicare una precisa edefinita tempistica di effettiva e concreta realizzazione di tali misure; VISTAla nota del 7 febbraio 2011 con la quale il Ministero dell'interno-Dipartimentodella pubblica sicurezza, nel fornire riscontro, ha indicato di poterrealizzare la misura di cui al punto 6.6 entro il mese di marzo 2011 e lamisura di cui al punto 6.4 entro la fine dell'anno 2011 "qualorafossero disponibili i fondi necessari per il completamento del progetto",rappresentando per le altre misure che i relativi progetti erano al vagliodelle competenti articolazioni del Dipartimento "per l'esecuzione delleprocedure amministrative previste per l'acquisizione dei beni e dei servizinecessari alla realizzazione" dei progetti medesimi; VISTOil provvedimento del 31 marzo 2011 con il quale il Garante, nelprendere atto delle difficoltà rappresentate nella predetta nota, ha dispostoil differimento del termine di adempimento delle prescrizioni in esame, fissatonel 30 aprile 2011 per la misura di cui al punto 6.6, nel 31 dicembre 2011 perla misura di cui al punto 6.4 e nel 31 dicembre 2012 per le altre misure,stabilendo, altresì, con riferimento alle misure con termine di realizzazioneal 31 dicembre 2012, che il Dipartimento riferisse all'Autorità, entro le datedel 31 dicembre 2011 e del 30 giugno 2012, sullo stato di avanzamento dei variprogetti, trasmettendo la relativa documentazione; RITENUTOche il Garante, in relazione agli obblighi di controllo ad esso affidati dalCodice, deve verificare l'adozione delle misure prescritte (art. 160, comma 2); RILEVATOche il Dipartimento, nel riferire di avere realizzato la misura di cui al punto6.6 e la misura di cui al punto 6.4 entro i termini rispettivamente assegnatidel 30 aprile 2011 e del 31 dicembre 2011, ha espresso la previsione di potercompletare l'attuazione anche delle altre prescrizioni entro la data assegnatadel 31 dicembre 2012 "qualora fossero state assegnate le necessarierisorse economiche"; VISTAla nota del 19 novembre 2012 con cui il Ministero dell'interno-Dipartimentodella pubblica sicurezza ha trasmesso un prospetto nel quale ha indicatole fasi di attuazione delle varie misure, rilevando come "parte degliinterventi (Š) potranno essere completati con i nuovi sistemi previsti con ilprogetto SIS II e Si.re.n.e. II" la cui entrata in funzione è prevista"orientativamente nel mese di aprile 2013", mentre per altre misure"sono invece necessari ulteriori stanziamenti"; VISTAla nota del 4 dicembre 2012 con cui il Dipartimento ha rappresentato che iprogetti in corso "non potranno essere conclusi entro i termini indicatidall'Autorità stante la sussistenza di problematiche di natura tecnica –riconducibili al procrastinarsi dell'entrata in funzione del nuovo sistema SISII – ed economica – correlata con la necessità di ottenere daicompetenti uffici dipartimentali gli stanziamenti necessari per ilcompletamento dei programmi già avviati"; ciò, in quanto "gliinterventi (Š) sono strettamente correlati sia al rilascio della nuova versionedel Sistema di Informazione Schengen, poiché utilizzeranno le nuove potenzialitàofferte dalla piattaforma, sia alla disponibilità di fondi che, in un periodoparticolarmente complesso per la congiuntura economica internazionale e vistala onerosità delle realizzazioni, sono stati ripartiti in differenti esercizifinanziari"; RILEVATOche in tale nota il Dipartimento, tenuto conto anche dei "tempi diimplementazione pari a circa sei mesi dalla data di entrata in produzione delnuovo Sistema (Š) per la realizzazione di alcuni interventi che incidono sullasua operatività" , stima che "le misure prescritte (Š) non ancoraattuate potranno essere completate" entro l'anno 2013; rilevato che, pertale motivo, il Dipartimento chiede il differimento al 31 dicembre 2013 del termine stabilito con il provvedimento del 31 marzo 2011 per l'adempimentodelle prescrizioni di cui ai punti 6.1, 6.2, 6.3 e 6.7 impartite con ilprovvedimento del 12 novembre 2009; RITENUTOche, tenuto conto di quanto rappresentato dal Dipartimento, appare congruodisporre un differimento al 30 giugno 2013 del termine stabilito con ilprovvedimento del 31 marzo 2011 per l'adempimento della prescrizione, dicarattere amministrativo/organizzativo, di cui al punto 6.1 del provvedimentodel 12 novembre 2009 concernente il potenziamento nella struttura delDipartimento della funzione organizzativa responsabile dell'attività diauditing per la sicurezza e la disponibilità dei dati, cui attribuire efficacicompiti di security manager interno; ciò, anche al fine di implementaretempestivamente le altre misure prescritte che, con riferimento in particolareagli strumenti e funzionalità di auditing, dovranno essere realizzate nel corsodell'anno e completate entro il 31 dicembre 2013, e considerata la dichiaratagià avvenuta acquisizione di alcuni prodotti software atti al monitoraggiodelle performance del sistema e della disponibilità dei dati; RITENUTOche, alla luce delle rappresentate difficoltà di attuazione delle altre misureprescritte, legate anche alla disponibilità delle risorse finanziarienecessarie per il completamento dei progetti avviati, appare opportuno disporreun differimento al 31 dicembre 2013 del termine stabilito con il provvedimentodel 31 marzo 2011 per l'adempimento delle residue prescrizioni di cui al punto6.1 nonché delle prescrizioni di cui ai punti 6.2, 6.3 e 6.7 impartite con ilprovvedimento del 12 novembre 2009, tenuto conto anche dei tempi dichiarati dalDipartimento necessari per la realizzazione degli interventi necessari agarantire l'operatività del nuovo Sistema di Informazione Schengen; DATOATTO che, atteso il tempo trascorso dal provvedimento del 12 novembre 2009,tali termini devono ritenersi non ulteriormente procrastinabili; RITENUTOche, allo scadere rispettivamente dei termini del 30 giugno 2013 e del 31dicembre 2013, il Ministero dovrà dare riscontro circa la completa attuazionedelle predette prescrizioni; RITENUTO,altresì, necessario che il Dipartimento riferisca all'Autorità, entro e nonoltre la data del 30 giugno 2013, sullo stato di avanzamento dei vari progettirelativi alle prescrizioni con scadenza del termine al 31 dicembre 2013,trasmettendo la relativa documentazione; DATOATTO che il Garante si riserva di effettuare ulteriori accertamenti presso lecompetenti strutture del Dipartimento della pubblica sicurezza sul trattamentodei dati personali effettuato in attuazione della Convenzione di applicazionedell'Accordo di Schengen, in particolare sullo stato di realizzazione deiprogetti volti alla transizione del Sistema per adeguarlo ai requisiti del SISII, anche in considerazione dell'obbligo di adempiere alla raccomandazioneadottata dalla Commissione di valutazione del Consiglio dell'unione europea,all'esito delle verifiche effettuate nel gennaio 2010 in Italia presso lecompetenti strutture del Ministero dell'interno e presso il Garante, sullanecessità di svolgere tali accertamenti anche sulla base dei file di log delleoperazioni svolte sul Sistema; CONSIDERATOche le prescrizioni impartite dal Garante ai sensi degli artt. 154, comma 1,lett. c) e 160 del Codice sono assistite da sanzione amministrativa (art. 162,comma 2ter, del Codice); VISTAla documentazione in atti; VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; RELATOREil dott. Antonello Soro; TUTTO CIO' PREMESSO IL GARANTE
|